LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?

LastPass Suffers Data Breach, Source Code Stolen

2022/08/27 DarkReading — LastPass の内部システムに侵入した攻撃者が、ソースコードと知的財産を持ち去った。パスワード管理会社である LastPass は、開発環境における異常なアクティビティを、2週間前に検出したと発表した。今週に行われた発表では、フォレンジック・データを調査した結果、開発者アカウントに侵入した何者かが、ネットワークにアクセスし、LastPass ソースコードの一部と独自の技術情報が窃取したと述べられている。


LastPass は、「重要なことは、顧客データや暗号化されたパスワード保管庫に、敵対者がアクセスできなかったことだ。顧客のマスター・パスワードに対して、LastPass 自身もアクセスできない、業界標準の Zero-Knowledge アーキテクチャを採用している。したがって、顧客のみが保管庫データを復号するアクセス権を持っていることを保証している」と述べている。

その一方で、BluBracket の President である Ajay Arora は、攻撃者は LastPass のソースコードを解析し、弱点を突こうと必死で努力しているはずであり、後続の攻撃につながる可能性があると指摘している。

彼は、「ソースコードの窃取/流出などにより、アプリケーションのアーキテクチャに関する秘密が明らかになる可能性がある。つまり、特定のデータが保存されている場所や、組織が使用しているリソースなどに関する情報を明らかになる可能性が生じる。これらの要因により、悪意の為者が組織に損害を与えることもある」と述べている。

Contrast Security の Senior VP of Cyber Strategy である Tom Kellermann も、「攻撃者は、LastPass のパートナーやサプライヤーのネットワークに、侵入経路が存在しないかと、探っていた可能性がある」と述べている。

彼は、「サイバーセキュリティ企業は、アイランドホッピングを容易にするために狙われている。FireEye での侵害の後に、業界は目を覚ますべきだった。それぞれのサイバー・セキュリティ企業は、対策を講じて実践する必要がある。数多くの企業が、自社のサイバー・セキュリティに対して過小投資している。侵害されることを想定し、準備しなければならない」と述べている。

LastPass は、パスワード管理を任せられるという点で、とても魅力的な選択肢ですが、ここが突破されると壊滅状態に陥るという側面も持ち合わせます。評価も高く、注目していますが、今回のソースコード窃取というインシデントは心配です。上手く乗り切ってほしいですね。よろしければ、カテゴリ authNauthZ も、ご利用ください。

%d bloggers like this: